Kritische Linux-Kernel-Lücken (Februar 2026): BSI-Warnung und warum „gelöschte“ Dateien Angreifer verraten

Von Sergii PastbinBSI, CVE, Cybersecurity, Linux, Schwachstellen, Sicherheitslücken
Kritische Linux-Kernel-Lücken (Februar 2026) BSI-Warnung
Inhaltsverzeichnis
  1. Die BSI-Warnung: WID-SEC-2026-0280
  2. Betroffene Versionen und Patches
  3. Exkurs: Computer-Forensik – Warum „Löschen“ nicht „Weg“ bedeutet
  4. Fazit und Handlungsempfehlung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang der Woche eine deutliche Warnung für Linux-Administratoren herausgegeben. Parallel dazu entfacht in der Fach-Community eine Diskussion darüber, wie Angreifer Spuren verwischen – und warum das unter Linux oft schwieriger ist, als Cyberkriminelle glauben.

Hier ist eine detaillierte Analyse der Lage, der betroffenen Versionen und ein Exkurs in die Forensik.

Die BSI-Warnung: WID-SEC-2026-0280

Am 2. Februar 2026 veröffentlichte das BSI die Sicherheitswarnung WID-SEC-2026-0280. Der Ton ist ernst:

  • Bedrohungsgrad: Das BSI vergibt einen CVSS Base Score von 9.8 („kritisch“). Das ist nahezu die Höchstwertung.
  • Das Risiko: Es handelt sich um mehrere Schwachstellen im Linux-Kernel. Ein Angreifer könnte diese nutzen, um Speicherbeschädigungen (Memory Corruption) auszulösen oder das System in einen Denial-of-Service (DoS) Zustand zu versetzen. Auch wenn Details zu Remote-Code-Execution (RCE) noch vage sind, wird die kombinierte Ausnutzung mehrerer Lücken (Chaining) befürchtet.
  • Handlungsempfehlung: Sofortiges Update der Kernel-Pakete.

Hinweis zur Einordnung: In den Fachforen wird diskutiert, dass Distributoren wie SUSE oder Red Hat die gleichen CVEs oft etwas niedriger einstufen (z.B. CVSS 6.8), da viele Angriffe lokalen Zugriff erfordern. Dennoch ist die BSI-Einschätzung für Behörden und KRITIS-Unternehmen bindend.

Betroffene Versionen und Patches

Nicht jeder Kernel ist gleichermaßen betroffen. Basierend auf den Patch-Logs und Mailing-Listen gelten folgende Versionen (und neuer) als gepatcht:

  • 4.16.12
  • 5.10.248
  • 5.15.198
  • 6.1.161 (LTS)
  • 6.6.121 (LTS)
  • 6.12.66
  • 6.18.6 (sowie 6.18.7 / 6.18.8)

Das Problem mit Ubuntu 24.04 LTS

Eine besondere Herausforderung haben Nutzer von Ubuntu 24.04 LTS. Diese Distribution nutzt standardmäßig Kernel 6.8 oder 6.14 (HWE).

  • Das Problem: Diese Kernel-Versionen sind im offiziellen Linux-Upstream bereits „End of Life“ (6.8 im Mai 2024, 6.14 im Juni 2025).
  • Die Folge: Ubuntu muss Sicherheits-Patches manuell „rückportieren“ (Backporting). Aktuelle Statusberichte zeigen, dass Pakete wie linux-hwe-6.8 Anfang Februar noch als „Vulnerable“ (verwundbar) gelistet waren. Nutzer sollten hier täglich nach Updates suchen oder (bei Ubuntu Pro) auf Live-Patches hoffen.

Exkurs: Computer-Forensik – Warum „Löschen“ nicht „Weg“ bedeutet

Kritische Linux-Kernel-Lücken BSI-Warnung

Im Kontext der aktuellen Sicherheitsdebatte rückte auch ein forensischer Aspekt in den Fokus, der für Admins bei der Analyse von Angriffen („Live Response“) essenziell ist.

Viele Angreifer versuchen, ihre Spuren zu verwischen, indem sie Malware-Skripte oder Log-Dateien nach der Ausführung sofort löschen (rm file). Sie wiegen sich in Sicherheit, doch unter Linux ist das ein Trugschluss.

Die Funktionsweise des Linux-Dateisystems

Unter Linux trennt das Dateisystem strikt zwischen dem Dateinamen (im Verzeichnis) und den Daten selbst (im Inode).

  • Wenn ein Befehl wie rm ausgeführt wird, löscht Linux nur den Link zwischen Dateinamen und Inode.
  • Der Clou: Solange ein Prozess (z.B. die Malware selbst) die Datei noch geöffnet hat (File Handle), bleiben die Daten auf der Festplatte und im Speicher vollständig erhalten.

Wie man Geister-Dateien findet

Sicherheitsanalysten nutzen dies, um Angreifer zu entlarven, die „zu früh aufgeräumt“ haben:

  1. lsof (List Open Files): Dieser Befehl zeigt Dateien an, die gelöscht wurden, aber noch von einem Prozess gehalten werden. Sie sind oft mit (deleted) markiert.
    • Beispiel: Ein Prozess update-check hält /tmp/malware.sh (deleted).
  2. Das /proc-Verzeichnis: Über den Pfad /proc/<PID>/fd kann der Admin direkt auf den Datei-Deskriptor zugreifen.
    • Dadurch lässt sich der Inhalt der „gelöschten“ Datei auslesen und sichern, obwohl sie im Datei-Explorer (ls) nicht mehr sichtbar ist.

Fazit und Handlungsempfehlung

Die Kombination aus kritischen Kernel-Lücken und der komplexen Patch-Situation bei einigen Distributionen erfordert Wachsamkeit.

Was Sie jetzt tun sollten:

  1. Versions-Check: Prüfen Sie Ihre Kernel-Version mit dem Befehl uname -r.
  2. Update: Führen Sie apt update && apt upgrade (Debian/Ubuntu) oder zypper dup (SUSE) durch.
  3. Neustart: Ein Kernel-Update erfordert zwingend einen Reboot (außer Sie nutzen Live-Patching Dienste wie Canonical Livepatch oder KernelCare).
  4. Forensik: Sollten Sie seltsames Verhalten bemerken, nutzen Sie lsof | grep deleted, um zu prüfen, ob unsichtbare Prozesse auf gelöschte Dateien zugreifen – ein klassisches Indiz für eine Kompromittierung.

Zusammenfassend: Die Warnung des BSI ist ernst zu nehmen, auch wenn Panik unangebracht ist. Regelmäßiges Patchen bleibt die wichtigste Versicherung – besonders im Linux-Umfeld, wo Updates meist sehr schnell bereitstehen.

Andere Artikel:

Von Sergii Pastbin

Sergii Pastbin ist ein versierter SEO- und Content-Spezialist, dessen Beiträge monatlich über 400.000 Impressionen und mehr als 40.000 Klicks erzielen. Mit über 100 veröffentlichten Artikeln, die in den Suchergebnissen von Google, Bing, DuckDuckGo und Ecosia konstant unter den Top 5 rangieren, deckt er ein breites Themenspektrum ab – von E-Commerce und Suchmaschinenoptimierung bis hin zu Kulinarik und Pentesting. In seiner Freizeit findet man Sergii häufig auf Laufstrecken, bei Open-Water-Schwimmeinheiten oder vertieft in Fachmagazinen rund um SEO und IT-Sicherheit. Seine große Leidenschaft gilt außerdem dem Kochen, wo er gerne Neues ausprobiert und kreativ wird.